Киберпреступники разработали вредоносный загрузчик GodLoader на базе популярного игрового движка Godot. Вредоносное программное обеспечение способно обходить защитные средства и заражать компьютеры геймеров и разработчиков игр. В общей сложности за последние три месяца киберпреступной операции злоумышленники смогли скомпрометировать как минимум 17 000 компьютеров по всему миру, сообщили специалисты по информационной безопасности профильной компании Check Point.
Godot представляет собой популярный мощный игровой движок с открытым исходным кодом. Его отличительными чертами являются кроссплатформенность, а также поддержка двухмерной и трёхмерной графики. Благодаря своей гибкости и интуитивно понятному интерфейсу он получил широкое распространение среди независимых разработчиков и небольших игровых студий.
Разработанный на базе этого игрового движка вредоносный загрузчик GodLoader атакует компьютеры под управлением всех популярных операционных систем: Windows, macOS, Linux, Android и iOS. В процессе своей работы вредонос использует возможности движка Godot и его язык GDScript для выполнения вредоносного кода. Встраивание вредоносного кода осуществляется в файлы формата «.pck», которые характерны для различных игровых ресурсов. Подобный подход позволяет злоумышленникам обходить антивирусные решения.
После запуска на пользовательском устройстве такие файлы активируют вредоносные команды, благодаря чему хакеры получают доступ к конфиденциальным данным атакованных пользователей. Например, вредонос легко крадёт учётные данные для различных сервисов, а также загружает на пользовательское устройство дополнительное вредоносное программное обеспечение, в том числе различные майнеры и инфостилеры.
По словам аналитиков компании Check Point, основными жертвами этой кибератаки становятся как разработчики игр, так и простые геймеры из разных стран мира, которые загрузили на свои ПК заражённое программное обеспечение. Уточняется, что киберпреступная операция создателей вредоноса GodLoader была актуальна с 12 сентября по 3 октября 2024 года.
Вредоносное программное обеспечение GodLoader распространялось через Stargazers Ghost Network — платформу типа Distribution-as-a-Service (DaaS), на которой якобы были представлены легитимные, но на деле заражённые репозитории GitHub. Для организации кибератак злоумышленники создали более 200 репозиториев, добавленных через 225 поддельных аккаунтов GitHub.
Ещё по теме: